QXAI

メニュー

ホーム
エージェント
AIアプリ
文字起こし
プレゼン動画
ライブラリ
もっと見る
プラン
設定
戻る

Anthropic、限定公開のMythosへの不正アクセス報道を調査

Anthropic、限定公開のMythosへの不正アクセス報道を調査
アリスAI2026年04月23日(木) 08時05分12秒

Anthropic「Mythos」不正アクセス報道をどう読むべきか

2026年4月22日時点で確認できる事実は、Anthropicが「Claude Mythos Preview」への不正アクセス報告を調査中だという点だ。CBS Newsに対し同社は、第三者ベンダー環境の一つを経由した不正アクセス報告を調べていると説明し、現時点ではその活動がベンダー環境の外部やAnthropic本体のシステムにまで及んだ証拠は見つかっていないとしている。一方、Bloombergは4月21日、少数の無権限ユーザーがMythosにアクセスしていたと報じた。つまり現段階で確定しているのは「中核システム侵害」ではなく、「高リスクとみなされる限定公開モデルについて、委託先を含む運用境界で不正アクセス疑惑が生じた」ということだ。これだけでも十分に重要である。(cbsnews.com)

まず押さえておきたいのは、Mythosは公式には「攻撃特化モデル」そのものとして説明されていない点だ。Anthropicはこれを一般用途のフロンティアモデルと位置づけており、サイバー能力の高さは、コーディング・推論・自律実行の総合的な向上から生じたものだとしている。4月7日に始まったProject Glasswingは、その能力をまず防御側に渡し、重要ソフトウェアの脆弱性発見と修正を急ぐための限定研究プレビューだった。Anthropicは現時点でMythosの一般公開を予定しておらず、将来的に「Mythos級」のモデルを広く安全に使えるようにするには、危険な出力を検知・遮断する safeguards の成熟が必要だと明言している。(anthropic.com)

その慎重姿勢の背景には、能力そのものの大きさがある。AnthropicのFrontier Red Teamは、Mythosがユーザーの指示次第で主要OSや主要ブラウザに対するゼロデイ脆弱性の発見・悪用に到達し得ると報告している。英国AISIの独立評価でも、Mythosは高度CTFで強い成績を示し、32段階の企業ネットワーク攻撃シミュレーション「The Last Ones」を初めて最後まで完遂したモデルになった。ただしAISIは同時に、これは「小規模で脆弱、かつ防御の弱い企業環境を自律攻撃できる可能性」を示すにとどまり、現実の堅牢で監視された環境を突破できるとまでは言えない、と注意を添えている。ここは報道の熱量よりも、評価の射程を冷静に読むべき部分だ。(red.anthropic.com)

では今回の報道は何を突きつけたのか。Bloomberg系報道を引くTechCrunchによれば、アクセスは4月7日の発表当日に始まり、私的フォーラムの一部ユーザーが、第三者契約者に結びつくアクセスやエンドポイント推測を足がかりにしたとされる。ただし、この具体的な侵入経路の細部はAnthropicが公に確認したわけではない。Anthropicが確認したのは「第三者ベンダー環境経由の疑い」を調査していることだけであり、ここは“確定情報”と“報道ベースの説明”を分けて扱う必要がある。とはいえ、仮に報道の大筋が正しいなら、問題の中心はモデルの知能そのものではなく、限定流通を支える運用系――契約者、認証、権限、クラウド設定、監査ログ、委託先管理――にある。(cbsnews.com)

この点でMythos事案は、フロンティアAIの安全運用が「モデルを閉じ込める」だけでは成立しないことを示している。Anthropicのシステムカードでは、Mythos Previewは厳選したパートナーへの限定アクセスと、禁止用途・高リスクのデュアルユース・一般的デュアルユースを監視する分類器に依存していた一方、研究プレビューの性質上、信頼された防御側の利用を妨げないため、一般公開モデルのように分類器トリガーで会話を自動遮断していなかった。またProject Glasswingでは、参加者がClaude APIに加えてAmazon Bedrock、Google Vertex AI、Microsoft Foundryでも利用できる設計だった。要するに、防御用途で使える実用性を確保しようとすると、どうしても多主体・多環境の運用になる。CISAもICTサプライチェーンを第三者ベンダー、サービス事業者、契約者を含む複雑な生態系と定義し、NISTもコードへアクセスし得る事業体への追加精査を求めている。Anthropic自身のRSPでも、ソフトウェア・サプライチェーン防御、クラウド設定監査、モデル重みへの多者承認、内部者脅威や供給網侵害を含むレッドチームが明記されており、今回の件はまさにその難所が現実化した形に見える。これは即「安全策の失敗」を意味しないが、「限定公開なら安全」という発想の脆さは確実に照らし出した。(www-cdn.anthropic.com)

今後の焦点は、秘密保持そのものより、検知可能で検証可能な運用へ移れるかどうかだろう。Anthropicは4月16日に、Mythosほど危険ではないOpus 4.7を一般公開し、禁止・高リスクのサイバー用途を自動検知・遮断する safeguards の実地運用を始めた。さらにFrontier Safety Roadmapでは、短命な認証情報、中央集約ログ、より厳しい研究環境の試作、出力が特定のモデル重みに由来すると証明する「provable inference」、そして能力上昇に応じた強い外部テストとインシデント報告の必要性まで掲げている。AISIとNCSCも、今のモデルでも防御の弱い組織には十分脅威であり、更新の徹底、アクセス制御、設定管理、包括的ログ、AIを活用した防御強化を急ぐべきだと勧告している。結局のところ、この事件の本質は「危険なAIが漏れた」という一言ではない。より正確には、「高度なデュアルユースAIを防御側へ先行配布する戦略は理にかなっているが、それを現実のサプライチェーン上で安全に回すこと自体が、すでに最前線の技術課題である」ということだ。(anthropic.com)

主な出典はAnthropicのProject Glasswing・RSP・安全性ロードマップ・Red Team文書、英国AISIの独立評価、CBS/Bloomberg/TechCrunchの報道、NIST/CISAのサプライチェーン指針である。(anthropic.com)